Important ! Mettez à jour votre wordpress

Info super importante pour tous les utilisateurs de WordPress : Mettez immédiatement à jour votre site vers la version 3.0.4 !

En effet, une énoooorme faille XSS et l'exploit qui va bien permettant à un cracker de mettre à genoux votre site.

Donc on se dépêche... hop hop hop, mise à jour pour tout le monde :-)

Tchussss

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Faites une recherche sur le site pour trouver votre bonheur

Une information, une correction, un complément à ajouter en privé ? Envoyez moi un petit mail à blog@korben.info. N'hésitez pas aussi à faire un tour sur Twitter, le forum, Google+ ou encore Facebook pour d'autres news.

http://www.webastuces.net Mikaël

C’est fait :)

Merci de l’info !
http://www.clapico.com Claude Picot

Merci, c’est fait
omotillon

Merci, c’est en cours
TicTacBoom

Merci pour l’info!
http://www.bouletcorp.com/blog/index.php?date=20070526 Xota

Si seulement, la dernière fois que j’ai voulu le faire sur 1and1 il m’a râlé dessus D:
Spi0n

Fait :)
http://www.ananath.fr Nath

Merci, la mise à jour est faite.
Thiib’

Déjà fait mais merci de l’info !

Ca en sauvera plus d’un :D
gh0st

Merci, c’est en cours.
http://tonton-mckay.fr/ McKay

@ Xota: Si tu rencontres des problèmes chez 1&1 désactive tes plugins avant de faire la mise à jour.

Chez moi ça ne fonctionne plus sans effectuer cette opération depuis la dernière mise à jour. ;)
Xota

hum bon quand j’aurai accès au FTP je retenterai. MAis c’était une question de base de données. Pas la bonne version, visiblement.
http://www.cdubonheur.com Philippe aka Café Froid

Ouf ! Done !!!
Merci pour l’alerte!
http://forum.do-not-feed-the-trolls.com/ ChevignoN

C’est fait.

Merci xD
http://www.geeksleague.be wally

aaaaaaaaaaaaaaaaaaaaaaaa

Vite !!!!!!!!!
billyboy

on aurais aimer un exemple car l’exploit est trop vague pour quelqu’un qui ne connais pas wordpress
http://www.maubon.info Gregory

Merci pour l’info !

Greg
http://www.mygb.eu MyGB

Heu… lol ?
Quelqu’un a-t-il lu l’exploit ?

Il s’agit du propriétaire du site qui peut faire cet exploit, pas un « cracker » quelconque.
Quand on voit un POST sur l’interface d’admin + un cookie, on se doute bien que c’est protégé…

Par ailleurs, une faille XSS ne « met pas à genoux » un site. Ca sert à pourrir l’expérience utilisateur.

Elle semble toucher IE6, 7 et NS8.1
http://www.korben.info Korben

@MyGB: non pas forcement car avec des système de multi-rédacteurs ou de plugins de soumission d’articles par des internautes (http://wordpress.org/extend/plugins/tdo-mini-forms/), ils peuvent aussi avoir accès au corps de l’article.
Moonwalker

Merci pour l’info Korben !

Mon wordpress est protégé par un htaccess car privé, mais bon … ça faisait des semaines que je repoussait cette update, l’update automatique plantant …

La flemme de le faire à la main, et du coup grâce à toi j’ai pu me motiver pour le faire ce matin :D
http://www.mygb.eu MyGB

@Korben: oui, mais ça reste dans le cadre des administrateurs/blogueurs possédant un accès privilégié.
S’il s’agit du core de WordPress, un plug-in de soumission pourrait effectivement proposer cet exploit, mais un petit check à la mano de la source HTML permet d’éviter ça (dans tous les cas, c’est conseillé de vérifier le format brut soumis par un user qu’on ne connaît pas).

P.S. et puis tossons, ça touche que les utilisateurs d’IE et Netscape ^^’.

Enfin, ce qui me fait surtout peur, c’est ce genre d’updates à l’arrache
« http://www.wordpress-fr.net/blog/sortie-en-urgence-de-wordpress-3-0-4″.
Ce qui a tendance parfois à introduire de nouvelles failles…
http://www.korben.info Korben

@MyGB: ouaip, mais si tu savais le nombre de gens qui utilisent encore IE (les pauvres…lol)
http://www.mygb.eu MyGB

@Korben: Ouais entreprises surtout… (enfin, Netscape, je sais pas…)

Par contre, pour une ligne marqué « spam » ?! :S

Contenu de l’ancien message :

« @Korben: oui, mais ça reste dans le cadre des administrateurs/blogueurs possédant un accès privilégié.
S’il s’agit du core de WordPress, un plug-in de soumission pourrait effectivement proposer cet exploit, mais un petit check à la mano de la source HTML permet d’éviter ça (dans tous les cas, c’est conseillé de vérifier le format brut soumis par un user qu’on ne connaît pas). »

J’ai juste peur qu’on trouve un 0day avec des updates du type à l’arrache :
http://www.wordpress-fr.net/blog/sortie-en-urgence-de-wordpress-3-0-4
http://outadoc.fr outadoc

Mon site s’est mis en maintenance après la màj ><
"Indisponibilité temporaire pour cause de maintenance. Veuillez revenir dans un instant."
EDIT: c’est bon, j’ai trouvé, fallait supprimer le fichier .maintenance =)
http://www.nelshd.com nelsHD

Thanx pour l’info …
Et hop MAJ faite ;)
http://harry-games.fr Harold

Sympa l’alerte générale, merci.
http://www.carminbook.com Carmin.D

Done ! Merci tonton :-)
Jesus

Fatal error: Call to undefined function is_multisite() in /homez.361/***/www/wp-admin/menu.php on line 28

La ligne en question:

if ( is_multisite() && is_super_admin() ) {

(et la double condition multisite revient plusieurs fois..) Aheum. J’ai pas de multisite, un seul wordpress mais bon je vais quand même pas supprimer tout ce qui contient « multisite » :p
Jesus

Problème réglé en effectuant la mise à jour manuellement.
http://www.in-ova.com Nicolas

Merci pour l’info, mise à jour effectuée ! c’était le petit coup de pouce qu’il me fallait pour passer de WP 2.6.2 vers la 3.0.4 ;-)!!!
BlogoTchim

Merci tonton Korben, j’ai pu le mettre à jour après « Indisponibilité temporaire pour cause de maintenance. Veuillez revenir dans un instant. » ;)

Bisous dans l’coup (branché Koa)
http://www.xorax.info Xorax

Bon ça manque d’info tout ça !!

ça touche quelles versions ? que supérieur à 3.0 ou même avant ? pourquoi que ie6 ie7 et ns8.1 ? Y a-t-il un moyen de faire une couille avec les autres navigateurs ?
http://lecocqphilippe.perso.neuf.fr/wordpress GrandQuick

@@!!!! Put..n de pages perso SFR !!!!!

Impossible de passer à WORDPRESS 3 , car les idiots de chez SFR ne veulent pas monter la mémoire php à plus de 32M !!!!

Je sens que je ne vais pas tarder à passer chez Free !!!!!

Merci pour l’info, korben !!!
http://www.babelphotos.be babelkot

Dommage cette info..cela aurait pu faire disparaître tout un tas de sites que personne ne lit.. :-)
Paul

Haha, et hop, une autre xss sur la 3.0.4 (dans les commentaires) :

http://www.exploit-db.com/exploits/15867/

Je viens tout juste de dl la dernière version, j’ai testé direct et effectivement :)

Courage les gens qui ont un wordpress !
Zarkk

Fait, merci ! ;)
comaX

–commentaire supprimé (devancé par Paul)
http://www.korben.info Korben

@Paul: ouin…
Pingback: Désactivation temporaire des commentaires
Pingback: Créer un thème sur Wordpress | Tools in Web
dadou

bonjour,
en faisant une mise à jour mon blog s’est mis en maintenance
voila ce que ça me met en clikant dessus

(Fatal error: Call to undefined function _get_custom_object_labels() in /homez.349/djindash/www/wp-includes/taxonomy.php on line 4)
Que dois-je faire?
merci

contenu seo

Important ! Mettez à jour votre wordpress

Faites une recherche sur le site pour trouver votre bonheur

Retrouvez Korben sur ces réseaux

Articles populaires

Inscrivez-vous à la newsletter

Offres d’emploi

Quoi de neuf sur le forum ?

Partenaires